交换机全部采用的是H3C公司的3100EI系列的二层可管理千兆交换机，因为要满足因为地理位置不同，但部门是同一个部门的问题，同时IP要规划在同一个子网内；所以，我们可以通过在二层交换机上做tru
k的方式，把网关都集中在核心三层交换机上来实现。
34访问控制（ACL）的设计
对于那些确实具有网络接入许可，但试图访问未得到授权的网络资源的用户站点，H3C系列产品的多层交换引擎能在进行高效的第三层交换的同时，根据用户的IP地址限制其访问不被授权访问的服务器。
本方案提供的安全性是建立在网络的物理端口、虚拟网的逻辑界限和OSI网络模型的数据链路层、网络层的立体交叉的、多维化的安全保障。
应用ACL防范“冲击波”等蠕虫病毒：
最近发现的冲击波病毒，造成了很多地方感染，网络瘫痪。这是一个针对MS03026MicrosoftWi
dowsDCOMRPC接口远程缓冲区溢出漏洞。蠕虫还会在本地的UDP69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblastexe。蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。一旦连接建立，蠕虫会向目标的TCP135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP4444端口作为后门，并绑定cmdexe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblastexe传到目标系统上，然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Wi
dows系统RPC服务崩溃，Wi
dowsXP系统可能会自动重启。该蠕虫不能成功侵入Wi
dows2003，但是可以造成Wi
dows2003系统的RPC服务崩溃。另外中毒的服务器会向网络发送大量无效的数据包，浪费有效的网络带宽，造成用户感觉上网速度慢，甚至使交换机等网络设备死机，所以我们可以利用S21系列智能交换机的ACL功能做出限制，禁止其转发和传播。
华三通信技术有限公司
版权所有，侵权必究
第11页共48页
f35服务质量（QOS）机制
本方案采用的交换机支持8021P、端口优先级、IPTOS、二到七层过滤等QoS策略，具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。实现网络的高效、可靠运行支持数据、话音和视频之间的无缝集成。为用户提供良好的QoS保证。
36广播风暴的抑制
H3CS5510、S3100EI均可以实现基于端口的广播风暴抑止功能，可支持同一r